ترحيل التكوين بين وحدتي SWA
المحتويات
المقدمة
يصف هذا المستند عملية إستعادة التكوين من جهاز ويب آمن (SWA) إلى آخر.
المتطلبات الأساسية
المتطلبات
توصي Cisco بمعرفة الموضوعات التالية:
- الوصول إلى واجهة المستخدم الرسومية (GUI) ل SWA
- الوصول الإداري إلى جمعية المرأة
- الوصول الإداري إلى جهاز إدارة الأمان (SMA)
- الوصول إلى Cisco Software License Portal أو ملف ترخيص SWA
- وصول المستخدم المميز لخدمة Active Directory للانضمام إلى المجال SWA وإنشاء سجلات DNS
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
قبل البدء
في هذه المقالة، نوجز الخطوات للترحيل من مصدر SWA إلى SWA الهدف. يسرد هذا الجدول مواصفات كل نظام.
|
مصدر SWA |
SWA الهدف |
|
|
الطراز |
الطراز S396 |
الطراز S100v |
|
الإصدار |
15.5.0-710 |
15.5.0-710 |
|
الترخيص |
الترخيص Smart |
الترخيص Smart |
|
الدليل النشط |
إقترنتن |
إقترنتن |
|
مدمج مع محرك خدمات الهوية (ISE) |
نعم |
نعم |
|
عدد بطاقة واجهة الشبكة (NIC) |
5 |
5 |
|
فك تشفير HTTPS |
ممكن مع شهادة موقعة ذاتيا |
ممكن مع شهادة موقعة ذاتيا |
|
إعادة توجيه شفاف |
WCCP |
WCCP |
|
مدارة من قبل SMA |
نعم |
نعم |
|
خادم السجل الخارجي |
دفع SCP |
دفع SCP |
|
الإتاحة العالية |
ممكن |
ممكن |
هناك سيناريوهان محتملان عند ترحيل SWA من جهاز إلى آخر:
[السيناريو-1] إستبدال النهج القائم: يتم إيقاف تشغيل SWA الأصلي، ويكون عنوان IP الخاص ب SWA الهدف هو نفس عنوان SWA المصدر.
[سيناريو-2] إضافة وسيلة جمع (SWA) جديدة: تظل SWA الأصلية في الخدمة أثناء تكوين SWA الجديدة.
التحضير للمصدر SWA ونسخه إحتياطيا
أستخدم هذه الخطوات لجمع الملفات الضرورية والتكوين من SWA المصدر:
الخطوة 1. تصدير ملف التكوين |
الخطوة 1.1. من واجهة المستخدم الرسومية، انتقل إلى إدارة النظام واختر ملف التكوين. الخطوة 1.2. تأكد من تحديد ملف التنزيل إلى الكمبيوتر المحلي لعرض أو حفظ. الخطوة 1.3. أختر تشفير كلمات المرور في ملفات التكوين الخطوة 1.4. (إختياري) أختر اسما لملف التكوين. الخطوة 1.5. انقر فوق إرسال.
|
الخطوة 2. تصدير شهادة فك التشفير |
الخطوة 2.1. من واجهة المستخدم الرسومية، انتقل إلى خدمات الأمان وانقر فوق وكيل HTTPS. الخطوة 2.2. انقر فوق تحرير الإعدادات. الخطوة 2.3. قم بتنزيل شهادة فك تشفير HTTPS، بالنقر فوق تنزيل الشهادة... الارتباط.
|
الخطوة 3. تصدير شهادات جذر الثقة المخصصة |
الخطوة 3.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق إدارة الشهادات. الخطوة 3.2. في قسم إدارة الشهادات، انقر على إدارة شهادات الجذر الموثوق بها.
الخطوة 3.3. قم بتوسيع كل ترخيص جذر موثوق مخصص بالنقر على اسمه وانقر على تنزيل الشهادة... |
الخطوة 4. تصدير شهادة واجهة المستخدم الرسومية (GUI) |
الخطوة 4.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق إدارة الشهادات. الخطوة 4.2. في قسم شهادات الجهاز، انقر فوق تصدير الشهادة.
|
الخطوة 5. تصدير شهادات ISE |
الخطوة 5.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق محرك خدمات الهوية. الخطوة 5.2. انقر فوق تحرير الإعدادات. الخطوة 5.3. تنزيل جميع الشهادات المتوفرة.
|
الخطوة 6. التراخيص / الميزات |
الخطوة 6.1. من واجهة المستخدم الرسومية، انتقل إلى إدارة النظام وانقر فوق تراخيص أو ميزات يعتمد على نوع الترخيص الذي تستخدمه. الخطوة 6.2. تمتع بعرض لقطة شاشة للتراخيص / الميزات الخاصة بك. |
الخطوة 7. شهادة إعادة توجيه المصادقة |
الخطوة 7.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق المصادقة. الخطوة 7.2. إذا تم تمكين تشفير بيانات الاعتماد، فتأكد من وجود الشهادة والمفتاح لديك. الخطوة 7.3. قم بعرض لقطة شاشة للتكوين الحالي.
|
الخطوة 8. تصدير المسارات الثابتة |
الخطوة 8.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق مسارات. الخطوة 8.2. لكل جدول توجيه، انقر فوق حفظ جدول المسار.
|
الخطوة 9. إعدادات DNS |
الخطوة 9.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق DNS. الخطوة 9.2. احصل على لقطة شاشة لتكوين DNS. |
إعداد SWA الهدف
الخطوة 10. تثبيت SWA الظاهرية |
الخطوة 10.1. أستخدم هذه الأدلة لتثبيت SWA الظاهري: الخطوة 10.2. تأكد من أن SWA الجديدة تحتوي على الوصول إلى الشبكة الموصى به: |
الخطوة 11. إعداد SWA الأولي |
الخطوة 11.1. قم بتكوين عنوان IP. الخطوة 11.2. قم بتكوين البوابة الافتراضية. الخطوة 11.3. قم بتكوين خادم DNS. الخطوة 11.4. ترخيص الجهاز. الخطوة 11.5. قم بتمكين الميزات. الخطوة 11.6. قم بتشغيل معالج إعداد النظام. يمكنك العثور على الخطوات التفصيلية في هذه المقالة: الإعداد الأولي لجهاز الويب الآمن |
الخطوة 12. تصفية ملف التكوين |
الخطوة 12.1. راجع قسم أخطاء التثبيت في هذه المقالة لإزالة تكوين شهادة ISE من ملف النسخ الاحتياطي ل XML. |
إستيراد ملف التكوين إلى SWA الهدف
الخطوة 13. إستيراد شهادات جذر موثوق بها مخصصة |
الخطوة 13.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق إدارة الشهادات. الخطوة 13.2. في قسم إدارة الشهادات، انقر على إدارة شهادات الجذر الموثوق بها. الخطوة 13.3. انقر فوق إستيراد. الخطوة 13.4. تحميل الشهادات التي تم تنزيلها سابقا في الخطوة 3. |
الخطوة 14. إستيراد ملف التكوين |
الخطوة 14.1. من واجهة المستخدم الرسومية، انتقل إلى إدارة النظام واختر ملف التكوين. الخطوة 14.2. في قسم تكوين الحمل، حدد تحميل ملف تكوين من كمبيوتر محلي. الخطوة 14.3. انقر فوق إختيار ملف وحدد ملف تكوين XML. الخطوة 14.4. إذا كان الترحيل يطابق السيناريو 1 ويجب إستخدام عنوان IP السابق في SWA الجديد، حدد خانة الاختيار تحميل إعدادات الشبكة، وإلا لا تحدد هذا الخيار. الخطوة 14.5. انقر فوق تحميل. الخطوة 14.6. انقر فوق متابعة في القائمة المنبثقة تأكيد تكوين التحميل.
|
الخطوة 15. تغيير كلمة مرور المسؤول |
15.1. من واجهة المستخدم الرسومية، انتقل إلى إدارة النظام واختر المستخدمين. 15.2. انقر فوق اسم مستخدم admin. 15.3. حدد تغيير عبارة المرور. 15.4. أدخل كلمة المرور. 15.5. انقر فوق إرسال.
|
الخطوة 16. الالتزام |
الخطوة 16.1. يمكنك الآن تنفيذ التغييرات. |
الخطوة 17 - إستيراد المسارات |
الخطوة 17.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق مسارات. الخطوة 17.2. لكل جدول توجيه، انقر فوق تحميل جدول المسار. الخطوة 17.3. أختر الملف الذي قمت بتصديره على الخطوة 8. الخطوة 17.4. انقر فوق إرسال. الخطوة 17.5. قم بتنفيذ التغييرات. |
الخطوة 18. تكوين إعدادات DNS |
الخطوة 18.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق DNS. الخطوة 18.2. انقر فوق تحرير الإعدادات. الخطوة 18.3. أستخدم لقطة الشاشة من الخطوة 9 الخطوة 18.4. انقر فوق إرسال. الخطوة 18.5. قم بتنفيذ التغييرات. |
الخطوة 19. ضم/إعادة ضم SWA إلى Active Directory |
الخطوة 19.1. من واجهة المستخدم الرسومية، انتقل إلى الشبكة وانقر فوق المصادقة. الخطوة 19.2. انقر فوق اسم حقل المصادقة. الخطوة 19.2. انقر فوق الانضمام إلى المجال وأدخل بيانات الاعتماد:
الخطوة 19.3. انقر فوق إرسال. الخطوة 19.4. تأكد من صحة اسم المضيف المعاد توجيهه. الخطوة 19.5. إذا تم تمكين تشفير بيانات الاعتماد، فتأكد من أن شهادة المصادقة الآمنة صحيحة.
الخطوة 19.6. قم بتنفيذ التغييرات. |
الخطوة 20. إعادة الانضمام إلى SMA |
الخطوة 20.1. اتصل ب CLI من SMA. الخطوة 20.2. شغل logconfig. الخطوة 20.3. أدخل hostkeyconfig. الخطوة 20.4. اكتب delete واضغط enter. الخطوة 20.5. اكتب الرقم المرتبط ب SWA الذي تم ترحيله مؤخرا واضغط Enter حتى ينتهي المعالج. الخطوة 20.6. اكتب الالتزام واضغط Enter لحفظ التغييرات. الخطوة 20.7. من واجهة المستخدم الرسومية (GUI) ل SMA، انتقل إلى جهاز الإدارة. حدد الخدمات المركزية وانقر فوق أجهزة الأمان. الخطوة 20.8. انقر فوق اسم SWA الذي تم ترحيله مؤخرا.
الخطوة 20.9. انقر فوق إنشاء اتصال. الخطوة 20.10. أدخل اسم المستخدم وعبارة المرور وانقر فوق إنشاء الاتصال.
الخطوة 20.11. قم بتعيين مدير التكوين.
الخطوة 20.12. إرسال التغييرات وإتمامها. الخطوة 20.13. (إختياري) يمكنك الاختبار عن طريق نشر التكوين إلى SWA. |
تصحيح الأخطاء
خطأ في التحليل على element port_name
يجب أن يكون اسم منفذ الشبكة واحدا من ['Management'، 'P1'، 'P2'، 'T1'، 'T2']:
صورة - خطأ في تسمية واجهة الشبكة
Error — Configuration File was not loaded. Parse Error on element "port_name" line number 85 column 18 with value "M2": The network port name must be one of ['Management', 'P1', 'P2', 'T1', 'T2'] (with optional "_v6" suffix), or start with "VLAN" or "Loopback".يحدث هذا الخطأ عندما تقوم بالترحيل من SWA المادية إلى Virtual. تحتوي SWA الظاهرية على 5 NICs فقط وواجهة M2 غير صالحة. لإصلاح الخطأ، قم بتحرير ملف تكوين XML في محرر نصي وأزال الأسطر التالية:
M2
M2
M2
autoselect
aa:bb:cc:00:00:00
حدث خطأ في التحليل اللغوي للعنصر ise_service
صورة - خطأ في شهادة ISE
Error - Configuration File was not loaded. Parse Error on element "ise_service" line number 548 column 17: AA11AA.crt.pem ISE certificate not present in /data/db/isecerts/.بما أن شهادات ISE غير مضمنة في تصدير تكوين SWA، ويتم تحميلها على الجهاز مباشرة، تحتاج إلى إزالة تكوين الشهادات من ملف XML وبعد الاستيراد الناجح، قم بتكوين ISE يدويا. لإصلاح هذه المشكلة، قم بتحرير ملف تكوين XML في محرر النصوص وابحث عن اسم الشهادة في الخطأ ( في هذا المثال، ابحث عن AA11AA ) واحذفه من ملف التكوين:
Before:
AA11AA
BB22BB
After:
بخلاف اسم الشهادة، تحتاج إلى إزالة اسم شهادة عميل جهاز الويب أيضا.
في هذا المثال، تعد شهادة عميل جهاز الويب شهادة موقعة ذاتيا:
Before:
1
xAcK6T
After:
0
لا يعمل تجاوز الفشل على SWA افتراضية جديدة
إذا لم تكن ميزة التوفر العالي (تجاوز الفشل) تعمل على ميزة SWA الافتراضية الهدف، فتأكد من تكوين برنامج مراقبة الأجهزة الافتراضية بشكل صحيح. لمزيد من المعلومات، تفضل بزيارة الموقع: تأكد من توفر وظائف مناسبة لمجموعة WSA HA Group في بيئة VMware
معلومات ذات صلة
- دليل المستخدم ل AsyncOS 15.2 ل Cisco Secure Web Appliance
- تثبيت جهاز الويب الآمن على VMware ESXi
- تثبيت جهاز ويب الآمن على Microsoft Hyper-V
- دليل تثبيت الجهاز الظاهري والبريد الإلكتروني الآمن من Cisco
- تكوين فئات عنوان URL المخصصة في جهاز ويب الآمن - Cisco
- أستكشاف أخطاء خدمة DNS لجهاز ويب الآمن وإصلاحها
- تأكد من توفر وظائف مناسبة لمجموعة WSA HA في بيئة VMware
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
11-Mar-2026
|
الإصدار الأولي |
التعليقات